Domov Varnost Smrkanje in vrednost zaznavanja neodkritega

Smrkanje in vrednost zaznavanja neodkritega

Kazalo:

Anonim

Obstaja veliko primerov, ko so omrežja vložena, nezakonito dostopna ali učinkovito onemogočena. Zdaj zloglasno krampanje omrežja TJ Maxx iz leta 2006 je bilo dobro dokumentirano - tako v smislu pomanjkljive skrbnosti s strani TJ Maxx kot tudi zaradi pravnih posledic, ki jih je podjetje utrpelo. K temu dodajte raven škode, ki jo je povzročila na tisoče strankam TJ Maxx, in pomen dodeljevanja virov za varnost omrežja hitro postane očiten.


Ob nadaljnji analizi taksista TJ Maxx je mogoče opozoriti na otipljiv čas, ko je bil incident končno opažen in ublažen. Kaj pa varnostni incidenti ostanejo neopaženi? Kaj pa če je podjetni mlad heker dovolj diskreten, da iz omrežja pošilja drobne koščke vitalnih informacij na način, ki sistemskim skrbnikom ne pusti nič pametnejših? Za boljši boj proti tej vrsti scenarijev lahko skrbniki varnostnih sistemov razmislijo o sistemu za zaznavanje vdorov smrčka (IDS).

Začetki Snorta

Leta 1998 je Snort izdal ustanovitelj Sourcefire Martin Roesch. Takrat so ga obračunavali kot lahek sistem za zaznavanje vdorov, ki je deloval predvsem na Unixu in Unixu podobnih operacijskih sistemih. Takrat je uvedba Snorta veljala za vrhunsko, saj je hitro postala dejansko standard v omrežnih sistemih za zaznavanje vdorov. Snort, napisan v programskem jeziku C, je hitro pridobil na popularnosti, ko so varnostni analitiki gravitirali k natančnosti, s katero je bilo mogoče nastaviti. Snort je tudi popolnoma odprta koda, rezultat tega pa je bil zelo robusten, zelo priljubljen del programske opreme, ki je v odprtokodni skupnosti zdržal veliko količinskih pregledov.

Snort Osnove

V času tega pisanja je trenutna produkcijska različica Snorta 2.9.2. Vzdržuje tri načine delovanja: način Sniffer, način zaklepanja paketov in sistem za zaznavanje in preprečevanje vdorov v omrežje (IDS / IPS).


Sniffer način vključuje malo več kot zajem paketov, ko prečkajo poti s katero koli mrežno vmesniško kartico (NIC) Snort je nameščen. Skrbniški skrbniki lahko s tem načinom razširijo, kakšen tip prometa se zazna v NIC-u in nato ustrezno prilagodijo svojo konfiguracijo Snort. Upoštevati je treba, da v tem načinu ni beleženja, zato so vsi paketi, ki vstopajo v omrežje, preprosto prikazani v enem neprekinjenem toku na konzoli. Zunaj odpravljanja napak in začetne namestitve ima ta poseben način sam po sebi malo vrednosti, saj je večini sistemskih skrbnikov bolje služiti z uporabo nečesa, kot je pripomoček tcpdump ali Wireshark.


Način zapisovalnika paketov je zelo podoben načinu sniffer, vendar je treba v imenu tega načina opaziti eno ključno razliko. Način zapisovalnika paketov omogoča sistemskim administratorjem, da beležijo vse pakete, ki se spuščajo na želena mesta in formate. Na primer, če želi sistemski administrator zabeležiti pakete v imenik z imenom / dnevnik na določenem vozlišču v omrežju, bi najprej ustvaril imenik na tem določenem vozlišču. V ukazni vrstici bi Snortu naročil, naj ustrezno shrani pakete. Vrednost v načinu zapisovalnika paketov je v njegovem imenu zapisovalnega vidika, saj varnostnim analitikom omogoča pregled zgodovine določenega omrežja.


V REDU. Vse te podatke je lepo vedeti, toda kje je dodana vrednost? Zakaj bi sistemski administrator porabil čas in trud za namestitev in konfiguriranje Snorta, ko lahko Wireshark in Syslog izvajata praktično iste storitve s precej lepšim vmesnikom? Odgovor na ta zelo pomembna vprašanja je omrežni sistem za zaznavanje vdorov (NIDS).


Sniffer način in način zaklepanja paketov sta korak na poti do tega, kar v resnici počne Snort - NIDS način. Način NIDS se v glavnem opira na konfiguracijsko datoteko smrčka (običajno imenovano snort.conf), ki vsebuje vse nabore pravil, ki jih tipična namestitev Snort posvetuje pred pošiljanjem opozoril sistemskim administratorjem. Če bi na primer skrbnik želel sprožiti opozorilo vsakič, ko FTP promet vstopi v omrežje in / ali zapusti njegovo omrežje, bi se preprosto skliceval na ustrezno datoteko s pravili znotraj snort.conf in voila! V skladu s tem se sproži opozorilo. Kot si lahko predstavljamo, lahko konfiguracija snort.conf postane zelo natančna glede na opozorila, protokole, določene številke vrat in kakršno koli drugo hevristiko, za katero sistemski skrbnik meni, da je pomembna za njeno določeno omrežje.

Kjer smrklja kratko

Kmalu potem, ko je Snort začel pridobivati ​​na priljubljenosti, je bila njegova edina pomanjkljivost raven talentov osebe, ki ga je konfigurirala. S časom pa so najosnovnejši računalniki začeli podpirati več procesorjev in mnoga lokalna omrežja so se začela približevati hitrosti 10 Gbps. Snort se je v svoji zgodovini dosledno imenoval kot "lahek", ta ubesednik pa je pomemben do danes. Pri zagonu v ukazni vrstici zamuda paketov nikoli ni bila večja ovira, v zadnjih letih pa se je koncept, znan kot večkratno branje, res začel prijeti, ko veliko aplikacij poskuša izkoristiti zgoraj omenjene več procesorjev. Kljub več poskusom premagovanja večserijske problematike, Roesch in preostala ekipa ekipe Snort niso mogli doseči oprijemljivih rezultatov. Snort 3.0 naj bi izšel leta 2009, vendar še ni bil na voljo v času pisanja. Poleg tega Ellen Messmer iz mreže Network World navaja, da se je Snort hitro znašel v rivalstvu z ministrstvom za domovinsko varnost IDS, znanim kot Suricata 1.0, katerega zagovorniki predlagajo, da podpira večstransko branje. Vendar je treba opozoriti, da je ustanovitelj Snorta te trditve ostro oporekal.

Snortova prihodnost

Je Snort še uporaben? To je odvisno od scenarija. Hekerji, ki vedo, kako izkoristiti Snortove pomanjkljivosti v več niti, bi z veseljem vedeli, da je edino sredstvo za odkrivanje vdorov v omrežju Snort 2.x. Vendar Snort nikoli ni bil mišljen kot varnostna rešitev za katero koli omrežje. Snort je že od nekdaj veljal za pasivno orodje, ki služi določenemu namenu z vidika analize omrežnih paketov in mrežne forenzike. Če so viri omejeni, lahko pametni sistemski administrator z bogatim znanjem v Linuxu razmisli o uvajanju Snorta v skladu s preostalim omrežjem. Čeprav ima lahko svoje pomanjkljivosti, Snort še vedno zagotavlja največjo vrednost z najnižjimi stroški. (o distribucijah Linuxa v Linuxu: Bastion of Freedom.)

Smrkanje in vrednost zaznavanja neodkritega